美國總統拜登於四月更新了美國監控框架的一部分,將在沒有包括歐洲人在內的世界各地非美國人授權的情況下監控和收集數據的授權延長兩年。
1978 年《外國情報監視法》(FISA) 的更新第 702 條於 2008 年首次推出,以適應「科技的發展」並針對美國境外的個人,據通報由國家情報總監辦公室負責。
第 702 條為 NSA 的國際大規模監視計畫 PRISM 提供了法律依據,該計畫的存在於 2013 年被舉報人愛德華·斯諾登洩露。
FISA 批准的專案(例如仍在運行的 PRISM)需要微軟、亞馬遜和Google允許存取被調查的非美國人的帳戶。不需要法官命令。
活動人士表示,歐洲人可能認為《一般資料保護規範》(GDPR) 可以保護他們免受美國立法的影響,但「世界上最嚴格的隱私和安全法」目前對於 FISA 授權的項目沒有實際意義。
奧地利律師兼隱私活動人士馬克斯‧施雷姆斯(Max Schrems) 告訴《歐洲新聞台》:「如果美國監控機構願意的話,歐洲人的資料基本上可以提供給他們,這就是目前正在發生的現實。 」
資料隱私作為一項人權
資料隱私是基本人權在歐盟。 GDPR 對個人資料施加了嚴格的限制,禁止與沒有同等保護水準的國家共享個人資料——這項規定自 GDPR 的前身 1995 年資料保護指令以來就已實施。
2000 年,歐盟決定瑞士提供「足夠水準」的資料保護,這項決定被今年早些時候更新。這意味著歐洲公民的資料可以安全、順利地從歐盟內部轉移到阿爾卑斯山國家的實體。
美國在 2000 年也獲得了「基本上同等」的地位,但這項決定是2015年無效施雷姆斯對歐盟資料保護專員提出質疑後,歐盟法院 (CJEU) 提起訴訟。
2016年,歐盟委員會決定恢復美國的地位,但2020年,歐洲最高法院再次決定恢復美國的地位。裁決對施雷姆斯有利,他以他的名字命名了這兩項廢除。
施雷姆斯聲稱,一項「政治決定」導致委員會於 2022 年 3 月 25 日再次給予美國資料隱私法(他認為這些法律並不存在)與 GDPR 同等的地位。
「歐盟最高法院說『你不能這樣做,這是非法的,甚至違憲』,而歐盟委員會只是一次又一次地發布(協議),」施雷姆斯說。
據該活動人士稱,當天烏蘇拉·馮德萊恩和喬·拜登宣告新的跨大西洋資料隱私框架、委員會和美國還表示他們會「共同努力支持歐洲即將到來的冬季的能源安全,並可持續地減少歐洲對俄羅斯的能源依賴」。
歐盟委員會發言人克里斯蒂安·維甘德(Christian Wigand)非常明確,這兩起事件之間沒有聯繫。
相反,他告訴歐洲新聞台,會談的動機是“基準”由歐洲法院制定2020年:如果國家沒有與歐盟同等的地位,可以採取「額外的補償措施」。
具有「巨大後果」的決定
美國正式恢復2023 年 7 月,美國政府發布一項行政命令(一項可由總統通過和廢除的法律),將歐盟資料收集限制在「必要且相稱」的水平後,其「充分」狀態得到確認。對歐盟委員會來說,該框架制定了「解決歐洲法院提出的所有相關切」的措施。
施雷姆斯的非營利組織捍衛歐洲數位權利 NOYB 認為兩國從未就定義達成一致新政的「比例」二字與前兩者相同。
美國智庫大西洋理事會副研究員肯尼斯·普羅普表示,美國「永遠不會同意根據歐盟法律制定的必要性和相稱性定義」。
但是,他表示,“美國確實做出了一些重大改變”,頒布了行政命令並為歐洲人建立了新的司法救濟制度。
「根據你身處大洋的哪一邊,對此存在著有趣的不同意見。如果你在華盛頓,美國政府的人會說,“美國政府非常努力地在其法律範圍內做讓歐洲人滿意的事情”,跨大西洋數據流專家說。
「如果你問布魯塞爾的人,他們會說,『這有點好,但仍然達不到我們認為的標準』。最終這將成為法院的一個問題,」他補充道。
NOYB 已經呼籲所有受新協議影響的人“向資料保護機構或法院提出質疑”,但警告稱,歐盟法院“可能會在 2024 年或 2025 年做出決定”。
普羅普表示,如果法院像前兩項協議一樣判定目前協議無效,美國和歐盟可能會陷入「困境」。
「美國政府願意投入大量資源來談判和重新談判這項協議,我認為這並不是無限的,」他說。
這位專家表示,缺乏協議不會阻止各國進行大規模監控,但如果美國和歐盟的公司無法出於商業目的傳輸數據,可能會產生「巨大的經濟後果」。
「如果美國和歐洲之間沒有達成協議,公司將如何開展業務?他們不會獲得所需的法律確定性水平,從長遠來看,這不是可持續的情況,」普羅普說。
